我目前在防火墙 (ASA 5505) 后面的 Windows Server 2003 上有一个 Citrix 安全网关,Citrix 端口转发到 Citrix 服务器。它与它指向的两个 Citrix 服务器位于同一个 LAN 上。当用户在 LAN 内连接时,我希望网关为他们提供他们试图连接的 Citrix 服务器的私有 IP 地址,当他们从互联网连接时,我将获得公有 IP。
如果我将连接设置为直接连接,那么一切都可以在 LAN 上运行,但由于 ICA 文件中的地址将是私有地址,因此他们无法连接到它。
如果我设置为网关直接,则将提供公共 IP,互联网用户可以连接,但 LAN 上的用户将无法连接。 ASA 似乎停止了连接,因为它是一个 LAN IP,试图访问公共 IP,然后返回 LAN 内部。
我最终将设置改为翻译。我添加了指向公共地址和私有地址的 DNS 记录。如果您在局域网上,它将解析为私有地址,如果您在互联网上,它将解析为公共地址。这似乎有效,但现在在局域网上,几个应用程序无法加载,并且出现一堆 SSL 握手错误。
关于如何正确执行此操作有什么建议吗?
答案1
正确的方法是设置两个不同的 Web 界面站点。一个供外部使用,一个供内部使用。
更好的方法是将 CSG 放在两个防火墙之间,或者放在 DMZ 中,然后在防火墙后面放置另一个 Web 界面服务器供内部使用。
或者,您不能配置两种不同的连接类型吗?一个是直接连接,一个是网关直接连接?